Créer des configurations client en fonction des profils OpenVPN pour mieux gérer les accès

Si comme moi, vous avez installé un serveur OpenVPN sur votre RP préféré, il vous est peut-être arrivé d’avoir besoin de séparer les besoins suivants :

uniquement avoir accès à son réseau local à distance (accéder à un NAS non connecté à Internet, l’interface Web du routeur Wifi. pour dépanner un pote de passage..)
mettre en place un proxy Internet pour contourner le firewall d’une entreprise
combiner les 2
donner un accès à une ressource particulière à un tiers

Et pour cela, l’utilisation de la variable client-config-dir va nous être très utile

Avant de commencer la configuration, les choix suivants ont été faits :
- le réseau 10.8.1.0 correspond au besoin 1, le réseau local uniquement
- le réseau 10.8.2.0 correspond au besoin 2, le proxy uniquement pour contourner les firewalls
- le réseau 10.8.0.0 correspond au besoin 3, à savoir un accès à mon réseau local + proxy
- le besoin 4 n’est pas traité dans ce post

On édite le fichier de configuration du serveur vpn /etc/openvpn/server.conf dans mon cas et on s’intéresse aux lignes rouges. On déclare les 3 réseaux, les routes correspondantes et le chemin du répertoire contenant des fichiers de configuration spécifiques aux clients.

port 1194
proto tcp
dev tun

script-security 3

ca /etc/openvpn/certs/ca.crt
cert /etc/openvpn/certs/pumpkin.crt
key /etc/openvpn/certs/pumpkin.key
dh /etc/openvpn/certs/dh2048.pem
tls-auth /etc/openvpn/certs/ta.key 0

crl-verify /etc/openvpn/crl.pem

<span style="color: #ff0000;"><strong>#all : local network + internet gw</strong></span>
<span style="color: #ff0000;"><strong>server 10.8.0.0 255.255.255.0</strong></span>
<span style="color: #ff0000;"><strong>#local network only</strong></span>
<span style="color: #ff0000;"><strong>server 10.8.1.0 255.255.255.0</strong></span>
<span style="color: #ff0000;"><strong>#internet gw only</strong></span>
<span style="color: #ff0000;"><strong>server 10.8.2.0 255.255.255.0</strong></span>

<span style="color: #ff0000;"><strong>client-config-dir ccd</strong></span>

<span style="color: #ff0000;"><strong>route 10.8.0.0 255.255.255.0</strong></span>
<span style="color: #ff0000;"><strong>route 10.8.1.0 255.255.255.0</strong></span>
<span style="color: #ff0000;"><strong>route 10.8.2.0 255.255.255.0</strong></span>

keepalive 1800 4000

cipher AES-256-CBC
comp-lzo

max-clients 3

user nobody
group nogroup

persist-key
persist-tun

log /var/log/ovpn/openvpn.log
status /var/log/ovpn/openvpn-status.log
verb 5
mute 20

port 1194

proto tcp

dev tun

script-security 3

ca /etc/openvpn/certs/ca.crt

cert /etc/openvpn/certs/pumpkin.crt

key /etc/openvpn/certs/pumpkin.key

dh /etc/openvpn/certs/dh2048.pem

tls-auth /etc/openvpn/certs/ta.key 0

crl-verify /etc/openvpn/crl.pem

#all : local network + internet gw

server 10.8.0.0 255.255.255.0

#local network only

server 10.8.1.0 255.255.255.0

#internet gw only

server 10.8.2.0 255.255.255.0

client-config-dir ccd

route 10.8.0.0 255.255.255.0

route 10.8.1.0 255.255.255.0

route 10.8.2.0 255.255.255.0

keepalive 1800 4000

cipher AES-256-CBC

comp-lzo

max-clients 3

user nobody

group nogroup

persist-key

persist-tun

log /var/log/ovpn/openvpn.log

status /var/log/ovpn/openvpn-status.log

verb 5

mute 20

On crée le répertoire en question

sudo mkdir /etc/openvpn/ccd

1	sudo mkdir /etc/openvpn/ccd

On crée ensuite les fichiers client en fonction du CN des profils crées.

/etc/openvpn % sudo cat /etc/openvpn/easy-rsa/keys/index.txt
V 270320145652Z 03 unknown /C=FR/ST=FR/L=MaVille/O=MaVille/OU=LoutorInc/CN=<span style="color: #ff0000;"><strong>besoin3-all</strong></span>/name=localhost/emailAddress=admin@domain.com
V 270320145721Z 04 unknown /C=FR/ST=FR/L=MaVille/O=MaVille/OU=LoutorInc/CN=<span style="color: #ff0000;"><strong>besoin1-local</strong></span>/name=localhost/emailAddress=admin@domain.com
V 270320145758Z 05 unknown /C=FR/ST=FR/L=MaVille/O=MaVille/OU=LoutorInc/CN=<span style="color: #ff0000;"><strong>besoin2-gw</strong></span>/name=localhost/emailAddress=admin@domain.com

/etc/openvpn % sudo cat /etc/openvpn/easy-rsa/keys/index.txt

V 270320145652Z 03 unknown /C=FR/ST=FR/L=MaVille/O=MaVille/OU=LoutorInc/CN=besoin3-all/name=localhost/emailAddress=admin@domain.com

V 270320145721Z 04 unknown /C=FR/ST=FR/L=MaVille/O=MaVille/OU=LoutorInc/CN=besoin1-local/name=localhost/emailAddress=admin@domain.com

V 270320145758Z 05 unknown /C=FR/ST=FR/L=MaVille/O=MaVille/OU=LoutorInc/CN=besoin2-gw/name=localhost/emailAddress=admin@domain.com

Le contenu du fichier /etc/openvpn/ccd/besoin1-local, à ajuster en fonction de votre réseau local

ifconfig-push 10.8.1.2 10.8.1.1
push "route 10.8.0.1 255.255.255.255"
push "route 10.8.0.0 255.255.255.0"
push "route <span style="color: #ff0000;"><strong>192.168.1.0 255.255.255.0</strong></span>"

ifconfig-push 10.8.1.2 10.8.1.1

push "route 10.8.0.1 255.255.255.255"

push "route 10.8.0.0 255.255.255.0"

push "route 192.168.1.0 255.255.255.0"

Le contenu du fichier /etc/openvpn/ccd/besoin2-gw

ifconfig-push 10.8.2.2 10.8.2.1
push "route 10.8.0.1 255.255.255.255"
push "route 10.8.0.0 255.255.255.0"
push "redirect-gateway def1"

ifconfig-push 10.8.2.2 10.8.2.1

push "route 10.8.0.1 255.255.255.255"

push "route 10.8.0.0 255.255.255.0"

push "redirect-gateway def1"

Le contenu du fichier /etc/openvpn/ccd/besoin3-all, à ajuster en fonction de votre réseau local

ifconfig-push 10.8.0.2 10.8.0.1
push "route 10.8.0.1 255.255.255.255"
push "route 10.8.0.0 255.255.255.0"
push "route <span style="color: #ff0000;"><strong>192.168.1.0 255.255.255.0</strong></span>"
push "dhcp-option DNS <span style="color: #ff0000;"><strong>192.168.1.5</strong></span>"
push "redirect-gateway def1"

ifconfig-push 10.8.0.2 10.8.0.1

push "route 10.8.0.1 255.255.255.255"

push "route 10.8.0.0 255.255.255.0"

push "route 192.168.1.0 255.255.255.0"

push "dhcp-option DNS 192.168.1.5"

push "redirect-gateway def1"

On édite ensuite les règles IPTables pour autoriser ou non la redirection vers le réseau local (eth0) ou Internet (eth1)
- Les 2 règles POSTROUTING dans nat reroutent automiquement le trafic de 10.8.0.0/24 (tun0) et de 10.8.0.2/24 (tun0) vers Internet (eth1), ce qui correspond aux besoins 2 et 3
- Les 2 premières règles FORWARD/ACCEPT dans filter autorisent le trafic d’OpenVPN (tun0) vers Internet (eth1), ce qui correspond aux besoins 2 et 3
- Les 2 règles suivantes INPUT et OUTPUT autorisent les paquets entrants et sortants de l’interface OpenVPN (tun0), ce qui correspond aux besoins 1, 2 et 3
- La dernière règle FORWARD/DROP interdit les paquets de tun0 ayant une adresse IP de type 10.8.2.X vers le réseau local (eth0), ce qui correspond aux besoins 2 (pas d’accès au réseau local)

*nat
-A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE
-A POSTROUTING -s 10.8.2.0/24 -o eth1 -j MASQUERADE
COMMIT

*filter
-A FORWARD -s 10.8.0.0/24 -i tun0 -o eth1 -j ACCEPT -m comment --comment "Accept forward Internal (tun0) to External (eth1)"
-A FORWARD -s 10.8.2.0/24 -i tun0 -o eth1 -j ACCEPT -m comment --comment "Accept forward Internal (tun0) to External (eth1)"
-A INPUT -i tun0 -j ACCEPT -m comment --comment "[tun0] Accept incoming packet"
-A OUTPUT -o tun0 -j ACCEPT -m comment --comment "[tun0] Accept outgoing packet"
-I FORWARD -i tun0 -o eth0 -s 10.8.2.0/24 -d 192.168.1.0/24 -j DROP
COMMIT

*nat

-A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE

-A POSTROUTING -s 10.8.2.0/24 -o eth1 -j MASQUERADE

COMMIT

*filter

-A FORWARD -s 10.8.0.0/24 -i tun0 -o eth1 -j ACCEPT -m comment --comment "Accept forward Internal (tun0) to External (eth1)"

-A FORWARD -s 10.8.2.0/24 -i tun0 -o eth1 -j ACCEPT -m comment --comment "Accept forward Internal (tun0) to External (eth1)"

-A INPUT -i tun0 -j ACCEPT -m comment --comment "[tun0] Accept incoming packet"

-A OUTPUT -o tun0 -j ACCEPT -m comment --comment "[tun0] Accept outgoing packet"

-I FORWARD -i tun0 -o eth0 -s 10.8.2.0/24 -d 192.168.1.0/24 -j DROP

COMMIT

Si on regarde rapidement les logs OpenVPN, on peut vérifier que le serveur charge la bonne configuration client en fonction du profil et envoie les bonnes informations au client

Fri Mar 24 10:17:22 2017 us=93304 178.197.231.226:13903 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Mar 24 10:17:22 2017 us=93505 178.197.231.226:13903 [besoin2-gw] Peer Connection Initiated with [AF_INET]178.197.231.226:13903
Fri Mar 24 10:17:22 2017 us=93715 besoin2-gw/178.197.231.226:13903 OPTIONS IMPORT: reading client specific options from: ccd/besoin2-gw
Fri Mar 24 10:17:22 2017 us=94109 besoin2-gw/178.197.231.226:13903 MULTI: Learn: 10.8.2.2 -> besoin2-gw/178.197.231.226:13903
Fri Mar 24 10:17:22 2017 us=94248 besoin2-gw/178.197.231.226:13903 MULTI: primary virtual IP for besoin2-gw/178.197.231.226:13903: 10.8.2.2
RFri Mar 24 10:17:23 2017 us=225647 besoin2-gw/178.197.231.226:13903 PUSH: Received control message: 'PUSH_REQUEST'
Fri Mar 24 10:17:23 2017 us=225838 besoin2-gw/178.197.231.226:13903 send_push_reply(): safe_cap=940
Fri Mar 24 10:17:23 2017 us=226036 besoin2-gw/178.197.231.226:13903 SENT CONTROL [besoin2-gw]: 'PUSH_REPLY,route 10.8.2.1,topology net30,ping 1800,ping-restart 4000,route 10.8.0.1 255.255.255.255,route 10.8.0.0 255.255.255.0,redirect-gateway def1,ifconfig 10.8.2.2 10.8.2.1' (status=1)

Fri Mar 24 10:17:22 2017 us=93304 178.197.231.226:13903 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA

Fri Mar 24 10:17:22 2017 us=93505 178.197.231.226:13903 [besoin2-gw] Peer Connection Initiated with [AF_INET]178.197.231.226:13903

Fri Mar 24 10:17:22 2017 us=93715 besoin2-gw/178.197.231.226:13903 OPTIONS IMPORT: reading client specific options from: ccd/besoin2-gw

Fri Mar 24 10:17:22 2017 us=94109 besoin2-gw/178.197.231.226:13903 MULTI: Learn: 10.8.2.2 -> besoin2-gw/178.197.231.226:13903

Fri Mar 24 10:17:22 2017 us=94248 besoin2-gw/178.197.231.226:13903 MULTI: primary virtual IP for besoin2-gw/178.197.231.226:13903: 10.8.2.2

RFri Mar 24 10:17:23 2017 us=225647 besoin2-gw/178.197.231.226:13903 PUSH: Received control message: 'PUSH_REQUEST'

Fri Mar 24 10:17:23 2017 us=225838 besoin2-gw/178.197.231.226:13903 send_push_reply(): safe_cap=940

Fri Mar 24 10:17:23 2017 us=226036 besoin2-gw/178.197.231.226:13903 SENT CONTROL [besoin2-gw]: 'PUSH_REPLY,route 10.8.2.1,topology net30,ping 1800,ping-restart 4000,route 10.8.0.1 255.255.255.255,route 10.8.0.0 255.255.255.0,redirect-gateway def1,ifconfig 10.8.2.2 10.8.2.1' (status=1)